服了!Log4j2 再再爆雷,Log4j v2.17.0 横空出世。。。
Posted 微笑很纯洁
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了服了!Log4j2 再再爆雷,Log4j v2.17.0 横空出世。。。相关的知识,希望对你有一定的参考价值。
我猜到了开头,却没有猜到结尾。。。
1
再爆雷
Apache Log4j 2 是一款优秀的 Java 日志框架。
该工具重写了 Log4j 框架,并且引入了大量丰富的特性,该框架被大量用于业务系统开发,用来记录日志信息。
几乎只要是 Java 程序员,几乎都会用到 Apache Log4j 这个组件。就在上周的时候 Log4j 爆出了一个史诗级别的 Bug。
由于 Apache Log4j 2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
于是 Log4j 紧急升级了一个版本 2.15.0,让大家升级到此版本来解决这个问题。。
当天多少个程序员,加班再改 Bug,但是没过几天,官网又紧急更新了一个版本 2.16.0。
因为,2.15.0 虽然解决了最严重的核弹级漏洞,但 2.15.0 的修复不完整,还存在允许攻击者执行拒绝服务攻击(DoS)漏洞,这个已经在最新的 2.16.0 中进行修复了。
2.15.0 虽然修复了一个核弹级漏洞,官方又新发现出来一个 DoS 攻击漏洞。。。
然后一堆程序员,又赶紧跟着该代码升级,都以为这是最后一次更新了,结果。。。
2
再再爆雷
这周末,可能很多程序员忙着升级 Log4j 到2.16版,不过他们可能又白忙活了。
因为Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务(Denial of Service,DoS)漏洞。
The Log4j team has been made aware of a security vulnerability, CVE-2021-45105, that has been addressed in Log4j 2.17.0 for Java 8 and up.
Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。
上周一释出的Apache Log4j 2.16.0版是为了修补早先发现的漏洞。
该漏洞被列为CVE-2021-45046,允许攻击者输入Log4j2 ThreadContext Map(MDC)资料时、使用非预设的Patten Layout改造成恶意查询输入。
2.16.0还释出不到一周,又被安全研究人员揭露有新漏洞,且是新的DoS漏洞。
新漏洞编号CVE-2021-45105,Apache说明在具有Thread Context Map查询的变项中,以StrSubstitutor class$$::-$::-$$::-j代入,造成无限递迴(infinite recursion),引发应用程式当掉。
于是 Log4j 2.17.0 横空出世。。。
3
解决访问
遇到这种问题,真的很无力吐槽,但是没办法只要是人写的程序,几乎不可能避免完全不出问题。
可能上周 Log4j 爆出问题之后,开发人员也很慌,在很短的时间内,先把优先级最高的 Bug 解决发出来。
在这两天不断研究中,又发现了很多问题,于是又又紧急的更新了一个又一个版本来解决问题。
如果你们公司使用了 Log4j ,现在还不是吐槽的时候,现在先紧急去升级版本吧。
最新 Maven 依赖:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>
最后,再说两句:
编程发展到了今天,任何公司都不可能不使用第三方开源组件,一个中型的项目,轻轻松松会用到几十个甚至上百个。
在时间的长河中,很难避免使用过的某个组件不出安全问题,因此对于程序员来讲,也需要及时关注行业信息。
早一点发现问题,给公司带来的损失会更小。
< END >
我的星球用户马上突破 5000人,本月做最后一次活动,送出 100 张 89 元优惠券,送完为止。
星球叫做就聊挣钱,但不止于聊挣钱!它是一个帮助人成长的社群,特别是在挣钱、见识、商业思维上有一定的帮助。
可以给大家承诺的是,现在使用优惠券后的价格,不但过了 12 月不会再有,星球的以后也不会有这个价格了。
说实话。
星球几个交付点(具体看这里:《被,拉黑了!》),每一个交付给大家,我都觉得不止 288 元了,所以后面的优惠活动只会越来越少。
建议大家一定要在 12 月份加入,不只是新加入,就连老用户的续费也是最低的(老用户续费,公号内回复:续费)。
以上是关于服了!Log4j2 再再爆雷,Log4j v2.17.0 横空出世。。。的主要内容,如果未能解决你的问题,请参考以下文章
卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
卧槽,Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
卧槽,Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。